رصدت شركة كاسبرسكي الرائدة في مجال الأمن السيبراني التفاصيل الكاملة للآليات التقنية التي يعتمدها إطار التحكم والسيطرة مفتوح المصدر المعروف بـ AdaptixC2، في خضم تصاعد لافت لاعتماد جهات التهديد عليه خلال العام الماضي. ويكشف هذا الإطار عن معضلة متجذّرة في عالم الأمن السيبراني، وهي إعادة توظيف الأدوات التي صُمّمت أصلاً لاختبار الأنظمة الدفاعية وتحصينها لتتحول إلى أسلحة هجومية متطورة في أيدي المجرمين.
نشأة AdaptixC2 من اختبار الاختراق إلى الجريمة الإلكترونية
أصدر مطوّر الإطار المعروف بـ”RalfHacker”، الذي يُعرّف نفسه بأنه مختبر اختراق ومشغّل فريق Red Team ومطوّر برمجيات خبيثة، الإطارَ على منصة GitHub. وتربطه صلات واضحة بالوسط الإجرامي الإلكتروني الروسي، إذ يعتمد قناة Telegram لتسويق أداته، فيما شهدت نسختها المُحدَّثة استقطاباً متصاعداً من جهات تهديد روسية.
أُتيح الإصدار الأول من إطار AdaptixC2، الذي يمكن اعتباره بديلاً لأداة Cobalt Strike الشهيرة، للعموم في مطلع عام 2025، وتم رصد أول استخدام خبيث له في ربيع العام نفسه. وقد انتشر الإطار بسرعة لافتة في المجتمعات الإجرامية الرقمية بفضل تصميمه المرن الذي يجمع بين سهولة الاستخدام وعمق الإمكانيات التقنية.
والإطار مكتوب بلغتَي Go وC++، ويستهدف بيئات Windows وmacOS وLinux على حد سواء، مما يجعله أداة متعددة الأنظمة وقادرة على استهداف أي بنية تحتية بصرف النظر عن المنصة التي تعمل عليها.
قدرات تقنية متقدمة لتجاوز أنظمة الرصد والحماية
يتميز AdaptixC2 عن غيره من أطر التحكم والسيطرة بتركيزه الشديد على تقنيات التخفي والتهرب من أدوات الرصد الحديثة. يدعم الإطار إمكانيات نفق متطورة، تشمل وظيفة بروكسي SOCKS4/5 وإعادة توجيه المنافذ، لتيسير الاتصال السري وتجاوز قيود الشبكة.
يستخدم الإطار حمولة بتعمية XOR، وبدلاً من كتابة الحمولة المُفكَّكة على القرص، مما قد يسهّل اكتشافها، تستغل العملية قدرات .NET لتخصيص ذاكرة داخل عملية PowerShell ذاتها، ثم تنسخ الحمولة المُفكَّكة كرمز Shell مباشرة إلى تلك المنطقة من الذاكرة. هذا النهج الذي يُعرف بـ”التنفيذ في الذاكرة” يجعل الكشف عن البرمجيات الخبيثة أصعب بكثير، لأن معظم أدوات مكافحة الفيروسات التقليدية تبحث عن ملفات على القرص لا عن تعليمات مبثوثة في الذاكرة المؤقتة.
بمجرد تثبيت الإطار، يمنح المهاجمَ صلاحيات واسعة تشمل الوصول عن بُعد وتنفيذ الأوامر وإدارة الملفات والعمليات، فضلاً عن أساليب متعددة لتثبيت الاستمرارية وضمان استمرار التحكم في الجهاز المخترق حتى بعد إعادة التشغيل.
يستخدم الإطار كذلك اتصالات مُشفَّرة بالكامل ومديرَ بيانات اعتماد ومديرَ لقطات شاشة، مما يُتيح للمهاجمين الحفاظ على وصول مستمر وتصعيد الصلاحيات داخل الشبكات المخترقة.
القراصنة الروس وعمليات الفدية توظّف الإطار في هجمات واسعة
شهد أغسطس 2025 أول رصد لاستغلال AdaptixC2 في توصيل برنامج CountLoader الخبيث، وهو محمّل مرتبط ارتباطاً وثيقاً بعصابات برامج الفدية الروسية. ففي إحدى الحملات، وزّع المهاجمون ملفات PDF ضارة تنتحل صفة الشرطة الوطنية الأوكرانية.
وثّقت تقارير الاستجابة للحوادث الرقمية وجود آثار AdaptixC2 في بيئات مخترقة، غالباً بجانب أدلة على تنفيذ برمجيات بلا ملفات في الذاكرة ومحمّلات PowerShell وأساليب اختطاف مكتبات DLL. وقد أُفيد باستخدام الإطار إلى جانب برنامج الفدية Fog في هجمات استهدفت مؤسسات مالية في آسيا.
استغل المهاجمون الثقةَ في منصة Microsoft Teams لخداع المستخدمين وانتزاع صلاحيات الوصول إلى أنظمة الشركات، ففي حالة بعينها انتحل المهاجمون صفة موظفي دعم تقنية المعلومات باستخدام سطور موضوع تتضمن عبارات من قبيل “Help Desk | Microsoft Teams”.
أما أبرز الأمثلة على خطورة توظيف هذا الإطار في العالم الحقيقي، فهي مجموعة Akira لبرامج الفدية التي يرتبط باسمها أكثر من 250 اختراقاً وما يزيد على 42 مليون دولار في دفعات الفدية منذ عام 2023، مع تأكيد توظيف AdaptixC2 في حوادث حديثة.
سلاسل التوريد البرمجية تتحول إلى ناقل هجوم
كشفت قضية AdaptixC2 أيضاً عن استراتيجية هجومية ناعمة تستهدف المطورين عبر بيئات العمل الموثوقة. في أكتوبر 2025، رصد خبراء كاسبرسكي في منظومة npm حزمة ضارة تحمل اسماً خادعاً مقنعاً هو “https-proxy-utils”، تتنكر في هيئة أداة مشروعة لإدارة البروكسي. اسم الحزمة يُشابه حزمتَي http-proxy-agent وhttps-proxy-agent الشرعيتين اللتين تحظيان بنحو 70 و90 مليون تنزيل أسبوعي على التوالي.
على أنظمة Windows، يعتمد الهجوم تقنية DLL Sideloading إذ يُسقط عميل AdaptixC2 في مجلد C:\Windows\Tasks، ثم ينسخ الملف الشرعي msdtc.exe إلى الموقع ذاته وينفّذه ليقوم بتحميل المكتبة الضارة. أما على macOS، فتُنزَّل الحمولة في مجلد Library/LaunchAgents مع ملف إعداد plist لضمان الاستمرارية.
إن هذه الحوادث أثبتت أن مستودعات المصدر المفتوح باتت أهدافاً متعمّدة في استراتيجيات الاختراق الحديثة، إذ يُحوّل المهاجمون منظومة التبعيات البرمجية الموثوقة نفسها إلى قناة لتوزيع الشفرات الخبيثة على نطاق واسع.
وتُجمع شركات الأمن السيبراني الكبرى على أن ظاهرة استغلال الأدوات مفتوحة المصدر المُصمَّمة لأغراض مشروعة كاختبار الاختراق ومحاكاة الخصوم ستزداد تعقيداً مع مرور الوقت، لأن هذه الأدوات توفر للمهاجمين غطاءً يجعل أنشطتهم تبدو مشابهة لعمليات الاختبار الأمني المشروعة، مما يُعقّد عملية الإسناد والاستجابة.
